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(54) Title: METHOD OF REDUCING THE SIZE OF AN RSA OR RABIN SIGNATURE 



(54) Titre : PROCEDE DE REDUCTION DE LA TAILLE D'UNE SIGNATURE RSA OU RABIN 

1— I 

fS (57) Abstract: The RSA cryptographic algorithm is the most commonly used public key cryptographic algorithm. The invention 
^ consists in defining a method that can be used to reduce the size of the signatures to be transmitted and stored. The invention can be 
f^) easily used in a chip card type of portable electronic component. 



(57) Abreg6 : L'algorithme de chiffrement RSA est 1'algorithme de chiffrement a clef publique le plus utilise. L' invention consiste 
a definir une methode permettant de require la taille des signatures a transmettre et a memoriser. L'invention est facilement utilisable 
dans un composant electronique portable de type carte a puce. 
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PROCEDE DE REDUCTION DE LA TAILLE D ' UNE 
SIGNATURE RSA OU RABIN 



La presente invention concerne un procede de 
5 reduction de la taille d'une signature RSA ou 
Rabin . 



Dans le modele classique de la cryptographie a 
clef secrete, deux personnes d£sirant 

10 communiquer par 1 ' intermediaire d'un canal non 
securisl doivent au prealable se mettre d' accord 
sur une cle secrete de chiffrement K. La 
fonction de chiffrement et la fonction de 
dechif f rement utilisent la meme clef K. 

15 L' inconvenient du systeme de chiffrement a cle 
secrete est que ledit systeme requiert la 
communication prealable de la cle K entre les 
deux personnes par 1 ' intermediaire d'un canal 
securise, avant qu'un quelconque message chiffre 

20 ne soit envoye a travers le canal non securise. 
Dans la pratique, il est generalement difficile 
de trouver un canal de communication 
parfaitement securise, surtout si la distance 
separant les deux personnes est importante. On 

25 entend par canal securise un canal pour lequel 
il est impossible de connaitre ou de modifier 
les informations qui transitent par ledit canal, 
Un tel canal securise peut etre realise par un 
cable reliant deux terminaux, possedes par les 

30 deux dites personnes. 

Le concept de cryptographie a clef publique fut 
invente par Whitfield DIFFIE et Martin HELLMAN 
en 1976. La cryptographie a clef publique permet 
35 de resoudre le probleme de la distribution des 
clefs a travers un canal non securise. Le 
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principe de la cryptographie a clef publique 
consiste a utiliser une paire de clefs, une clef 
publique de chiffrement et une clef privee de 
dechif f rement . II doit §tre calculatoirement 

5 infaisable de trouver la clef privee de 
dechif f rement a partir de la clef publique de 
chiffrement. Une personne A desirant communiquer 
une information a une personne B utilise la clef 
publique de chiffrement de la personne B. Seule 

10 la personne . B possede la clef privee associee a 
sa clef publique. Seule la personne B est done 
capable de dechiffrer le message qui lui est 
adresse . 



15 Un autre avantage de la cryptographie a cle 
publique sur la cryptographie a cle secrete est 
que la cryptographie a clef publique permet 
1 ' authentif ication par 1 ' ut il isat ion de 

signature electronique . 

20 

La premiere realisation de schema de chiffrement 
a clef publique fut mise au point en 1977 par 
Rivest, Shamir et Adleman, qui ont invente le 
systeme de chiffrement RSA. La securite de RSA 

25 repose sur la difficulty de factoriser un grand 
nombre qui est le produit de deux nombres 
premiers. Depuis, de nombreux systemes de 
chiffrement a clef publique ont ete proposes, 
dont la securite repose sur differents problemes 

30 calculatoires ; (cette liste n'est pas 
exhaustive) . 



- " Sac a dos " de Merckle -Hellman : 

Ce systeme de chiffrement est base sur la 
35 difficulty du probleme de la somme de sous- 

ensembles ; 
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- McEliece : 

Ce systeme de chiffrement est base sur la 
theorie des codes algebriques. II est base sur 
5 le probleme du d£codage de codes lineaires ; 

- ElGamal : 

Ce systeme de chiffrement est base sur la 
difficulty du logarithme discret dans un corps 
10 fini ; 

- Courbes elliptiques: 

Le systeme de chiffrement a courbe 
elliptique constitue une modification de 

15 systemes cryptographiques existant pour les 

appliquer au domaine des courbes elliptiques. 
L'avantage des systemes de chiffrement & 
courbes elliptiques est qu'ils necessitent une 
taille de clef plus petite que pour les autres 

20 systemes de chiffrement. 

Le systeme de chiffrement RSA est le systeme 
de chiffrement a cle publique le plus utilise. 
II peut etre utilise comme procede de 

25 chiffrement ou comme procede de signature. Le 
systeme de chiffrement RSA est utilise dans les 
cartes a puce, pour certaines applications de 
celles-ci. Les applications possibles de RSA sur 
une carte a puce sont 1'acces a des banques de 

30 donnees, des applications bancaires, des 
applications de paiements a distance comme par 
exemple la television a peage, la distribution 
d' essence ou le paiement de peages d'autoroute. 

35 Le principe du systeme de chiffrement RSA 

est le suivant. II peut etre divise en trois 
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parties distinctes qui sont : 

1) La generation de la paire de cles RSA ; 

2) Le chiffrement d'un message clair en un 
message chiffre, et 

5 3) Le dechif f rement d'un message chiffre en un 

message clair. 

La premiere partie est la generation de la clef 
RSA. Chaque utilisateur cree une cle publique 
10 RSA et une cle privee correspondant e , suivant le 
procede suivant en 5 etapes : 

1) Generer deux nombres premiers distincts p 
et q de meme taille ; 

2) Calculer n=pq et <(>= (p- 1 ) (q- 1 ) ; 

15 3) Selectionner aleatoirement un entier e, 

l<e<<|>, tel que pgcd(e, <|>) =1 ; 

4) Calculer 1'unique entier d, l<d<<|>, tel que 

e*d=l mod (j) ; 

5) La cle publique est (n,e); la cle privee 
20 est d ou (d,p, q) . 

Les entiers e et d sont appeles respect ivement 
exposant de chiffrement et exposant de 
ddchif f rement . L' entier n est appele le module. 

La seconde partie consiste au chiffrement d'un 
message clair note m au moyen d'un algorithme 
avec l<m<n en un message chiffr£ note c qui est 
le suivant : 

Calculer c=m A e mod n. 

La troisieme partie consiste au dechif f rement 
d'un message chiffre utilisant 1' exposant prive 
35 d de dechif f rement au moyen d'un algorithme. 



25 



30 
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L'algorithme de dechif f rement d'un message 
chiffre note c avec l<c<n en un message clair 
note m est le suivant : 

5 Calculer m=c A d mod n. 

Le systeme Rabin est semblable au systeme RSA, 

la difference etant que l'exposant public de 

chiff rement est fixe a 2, ou plus generalement 
10 un entier pair. 

Les systemes RSA ou Rabin peuvent egalement etre 
utilises pour generer des signatures 
electroniques . Le principe d'un schema de 
15 signature electronique base sur le systeme RSA 
peut generalement etre defini en trois parties : 

- La premiere partie etant la generation de la 
clef RSA ou Rabin, en utilisant le methode 

20 decrite dans la premiere partie du systeme RSA 

ou Rabin decrite precedemment ; 

- La deuxieme partie etant la generation de la 
signature. Le procede consiste a prendre en 

25 entree le message M a signer, a lui appliquer 

un encodage utilisant une fonction (i pour 
obtenir la chaine de caractere p.(M), et a 
appliquer le procede de dechif f rement de la 
troisieme partie du systeme RSA decrit 

30 precedemment. Ainsi, seule la personne 

possedant la clef privee peut generer la 
signature ; 

- La troisieme partie etant la verification de 
35 la signature. Le procede consiste a prendre en 

entrSe le message M a signer et la signature s 



5 



WO 03/021864 • PCT/FR02/03022 

a verifier, a appliquer un encodage au message 
M en utilisant une fonction |i pour obtenir la 
chaine de caractdre \i(M) , a appliquer a la 
signature s le procede de chiffrement decrit 
5 dans la deuxieme partie du systeme RSA, et a 

verifier que le resultat obtenu est egal a 
ji(M) . Dans ce cas, la signature s du message M 
est valide, et dans le cas contraire elle est 
f ausse . 
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II existe de nombreux procedes d' encodage 
utilisant differentes fonctions \x. Un exemple de 
procede d' encodage est le procede decrit dans le 
standard « ISO/IEC 9796-2, Information 

Technology - Security techniques - Digital 
signature scheme giving message recovery, Part 
2 : Mechanisms using a hash- function, 1997 ». Un 
autre exemple de procede d' encodage est le 
procede d' encodage decrit dans le standard « RSA 
Laboboratories, PKCS#i : RSA cryptography 
specifications, version 2.0, September 1998 ». 
Ces deux process d' encodage permettent de 
signer des messages de taille arbitrairement 
longue . 

L' inconvenient des deux procedes d' encodage 
cites precedemment est qu'ils necessitent la 
transmission d'une signature electronique dont 
la taille est aussi grande que celle du module 
RSA, soit typiquement 1024 bits. Si la signature 
est generee par un dispositif disposant d'un 
faible debit de transmission, la transmission de 
la signature sera lente car la signature est de 
grande taille. De plus, si une entite doit 
garder en memoire un grand nombre de signatures, 
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la capacite de stockage a mettre en oeuvre sera 
importante . 



Le procede de 1' invention consiste a reduire la 
5 taille de la signature qui est transmise ou 
memorisee. Le procede de 1' invention consiste en 
deux parties distinctes, la premiere etant la 
generation de la signature courte, la deuxieme 
etant la verification de la signature courte. 

10 

Le procede de generation de la signature courte 
prend en entree un message M et la clef privee d 
de 1 'utilisateur , et comprend les etapes 
suivantes : 

15 

1) Generation de la signature S du message M a 
l'aide de la clef privee d de 1 ' utilisateur , 
suivant la methode de generation d'une 
signature RSA ou Rabin decrite precedemment. 

20 

2) Calcul d'une partie S' de la signature S, 
ladite partie pouvant etre une chaine de bits 
inclue dans la signature S. 

25 Le procede de verification de la signature 
courte prend en entree un message M, la 
signature courte S' a verifier, et la clef 
publique de 1 ' utilisateur , et comprend les 
Stapes suivantes : 

30 

1) Generation de la signature S du message M a 
partir du message M et de la signature courte 
S' . 

2) Verification de la signature S suivant le 
35 procede de verification de signature RSA ou 

Rabin decrit precedemment. 
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Le procede de 1' invention comprend deux 
variantes. Dans une premiere variante, la 
signature courte S' est derivee de la signature 
S en ne gardant que les bits de poids forts de 

5 la signature S. De plus, la taille relative de 
la signature courte S' par rapport a celle de la 
signature S doit etre superieure a 1-l/e, oil e 
est l'exposant public de chif f rement . Par 
exemple, lors de 1 ' utilisation du systeme Rabin 

10 avec e = 2, la taille de la signature courte S' 
doit etre superieure a la moitie de la taille de 
la signature S. 

Pref erentiellement , l'exposant public e est egal 
a 3 . 

15 Dans une deuxieme variante, la signature courte 
S' est derivee de la signature S en ne gardant 
que les bits de poids faibles de la signature S. 
De plus, la taille relative de la signature 
courte S' par rapport a celle de la signature S 

20 doit etre superieure a 1-l/e, ou e est 
l'exposant public de chif f rement . 

Lors de la verification de la signature, si la 
signature S' a ete correctement generee, la 
signature S' est telle que S A e = |J,(M) mod N avec 

25 S=S'.2 A b+x dans la premiere variante, et 

S=x.2 A b+S' dans la deuxieme variante, N etant un 
entier, l'entier b etant un parametre fixe, et x 
Stant un entier positif de taille inferieur a la 
taille de N divisee par e. La signature S' est 

30 done telle que (S ' . 2 A b+x) A e = |x (M) mod N dans la 
premiere variante et (x . 2 A b + S ' ) A e = p, (M) modulo N 
dans la deuxieme variante. Dans ces 2 cas, 
l'entier x est done solution d'une equation 
polynomiale modulo N de degre e, et de plus 

35 l'entier x est de taille inferieure a la taille 
de N divisee par e. Dans 1' article « Small 
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solutions to polynomial equations, and low 
exponent RSA vulnerabilities » publie dans 
Journal of Cryptology, 10, 1997, D. Coppersmith 
decrit une methode permettant de resoudre une 

5 Equation polynomiale de ce type. 

En utilisant cette methode, on retrouve done 
l'entier x dans chacune des deux variantes du 
procede, ce qui permet de retrouver la signature 
S. On verifie ensuite la validite de la 

10 signature S a l'aide du procede de verification 
de signature RSA ou Rabin decrit precedemment . 

L'avantage du procede de generation et de 
verification de signature courte de la presente 

15 invention est que la taille de la signature a 
transmettre est plus petite que dans le cas 
general : en effet, il est ainsi possible de ne 
transmettre que 512 bits de la signature au lieu 
de 1024 bits, du fait de la troncature de la 

20 signature. II en resulte de meilleures 
performances dues a des temps de transmission 
plus faibles et done une execution plus rapide. 
Le procede est aussi avantageux lorsqu'un grand 
nombre de signatures doivent etre stockees . 

25 Cette invention presente un interet particulier 
pour les dispositifs electroniques portables de 
petite taille du type puce electronique . 
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REVEND I CATIONS 

1) Procede de reduction de la taille d'une 
signature electronique de type RSA ou Rabin, 

5 ledit procede etant constitue de deux parties 
distinctes, la premiere partie etant la 
generation de la signature courte S' suivant la 
methode de generation d'une signature RSA ou 
Rabin prenant en entree un message M et la clef 

10 privee de 1 ' utilisateur , la deuxieme partie 
etant la verification de la signature courte 
prenant en entree le message M, la clef publique 
de 1 ' utilisateur et la signature courte S', 
caracterise en ce que la verification de la 

15 signature utilise un procedd de resolution d'une 
equation polynomiale modulo N de degre e ou N 
est un entier et e l'exposant public de 
chiffrement, la solution de 1' equation etant de 
taille inferieure a la taille de N divisee par 

20 e, ladite equation polynomiale etant soit de la 
forme (S'.2 A b+x) A e = modulo N soit de la 

forme (x.2 A b+S') A e = p (M) modulo N, ou b est un 
entier fixe et x un entier positif de taille 
inferieur a la taille de N divisee par e. 

25 

2) Procede de reduction de la taille d'une 
signature electronique de type RSA ou Rabin, 
selon la revendicat ion 1, caracterise en ce que 
la signature courte S' est derivee de la 

30 signature S en ne gardant que les bits de poids 
forts de la signature S, la taille relative de 
la signature courte S' par rapport a celle de la 
signature S devant etre sup£rieure a 1-l/e, oil e 
est l'exposant public de chiffrement. 

35 

3) Procedg de reduction de la taille d'une 
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signature electronique de type RSA ou Rabin, 
selon la revendicat ion 1, caracterise en ce que 
la signature courte S' est derivee de la 
signature S en ne gardant que les bits de poids 
5 faibles de la signature S, la taille relative de 
la signature courte S' par rapport a celle de la 
signature S devant etre superieure a 1-l/e, oil e 
est l'exposant public de chiffrement. 

10 4) Procede de reduction de la taille d'une 
signature Electronique de type Rabin suivant 
1 ' une quelconque des revendicat ions precedentes, 
caracterise en ce que l'exposant de chiffrement 
e est egal a 2 . 

15 

5) Procede de reduction de la taille d'une 
signature electronique de type RSA suivant 1 ' une 
quelconque des revendicat ions 1 a 3 caracterise 
en ce que l'exposant de chiffrement e est Egal a 

20 3 . 

6) Procede suivant 1 ' une quelconque des 
revendicat ions precedentes, caracterise en ce 
qu'il utilise un dispositif electronique. 

25 

7) Procede suivant la revendication 6, 
caracterise en ce qu'il utilise un dispositif 
portable . 

30 8) Procede suivant 1 ' une quelconque des 
revendicat ions 6 ou 7 caracterise en ce qu'il 
utilise une carte a puce. 
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